Các lỗ hổng bảo mật là mối đe dọa thường trực đối với các hệ thống CNTT và cơ sở hạ tầng mạng. Dưới đây là phân tích chi tiết về một số lỗ hổng mới được xác định gần đây, bao gồm thông tin về các sản phẩm bị ảnh hưởng, cơ chế khai thác và biện pháp khắc phục.
Phân tích lỗ hổng trên Performave Convoy
CVE-2025-52562: Lỗ hổng Directory Traversal dẫn đến RCE
Lỗ hổng CVE-2025-52562 đã được phát hiện trong nền tảng quản lý máy chủ KVM Performave Convoy. Cụ thể, các phiên bản từ 3.9.0-rc3 trở lên và dưới 4.4.1 bị ảnh hưởng bởi lỗ hổng Directory Traversal trong thành phần LocaleController.
Kẻ tấn công từ xa không cần xác thực có thể lợi dụng lỗ hổng này bằng cách gửi một yêu cầu HTTP được chế tạo đặc biệt. Yêu cầu này chứa các tham số locale và namespace độc hại, cho phép kẻ tấn công đưa vào và thực thi các tệp PHP tùy ý trên máy chủ. Điều này dẫn đến khả năng Thực thi mã từ xa (Remote Code Execution – RCE) hoàn toàn, cho phép kẻ tấn công kiểm soát hệ thống bị ảnh hưởng.
Về mặt kỹ thuật, việc khai thác lỗ hổng này được xếp vào loại hình tấn công dựa trên việc “Thực thi bởi người dùng” (User Execution) theo phân loại của MITRE ATT&CK (kỹ thuật T1204). Mặc dù không yêu cầu tương tác trực tiếp của người dùng ngoài việc máy chủ xử lý yêu cầu HTTP độc hại, kết quả cuối cùng là việc thực thi mã không mong muốn trên hệ thống mục tiêu.
Để khắc phục lỗ hổng nghiêm trọng này, người dùng và quản trị viên hệ thống được khuyến nghị nâng cấp ngay lập tức Performave Convoy lên phiên bản 4.4.1 hoặc cao hơn. Phiên bản này đã vá lỗi hoàn toàn và loại bỏ nguy cơ bị khai thác.
Phân tích lỗ hổng trên Aviatrix Controller
Nền tảng mạng định nghĩa bằng phần mềm (Software-Defined Networking – SDN) Aviatrix Controller, được sử dụng rộng rãi để quản lý và kết nối mạng trên các môi trường đám mây như AWS, Azure và Google Cloud, cũng đã được ghi nhận hai lỗ hổng bảo mật quan trọng: CVE-2025-2171 và CVE-2025-2172.
Các phiên bản bị ảnh hưởng của Aviatrix Controller bao gồm tất cả các phiên bản trước 7.1.4208, 7.2.5090 và 8.0.0.
CVE-2025-2171: Lỗ hổng bỏ qua xác thực
Lỗ hổng CVE-2025-2171 cho phép kẻ tấn công bỏ qua cơ chế xác thực. Nguyên nhân của lỗ hổng này là do thuật toán tạo mã thông báo (token) có độ ngẫu nhiên yếu (weak token entropy), đặc biệt là trong quy trình đặt lại mật khẩu (password reset PIN). Điều này cho phép kẻ tấn công thực hiện tấn công vét cạn (brute force guessing) để đoán mã PIN đặt lại mật khẩu thành công.
Với khả năng bỏ qua xác thực, kẻ tấn công có thể truy cập trái phép vào hệ thống Aviatrix Controller mà không cần biết thông tin đăng nhập hợp lệ. Mức độ nghiêm trọng của lỗ hổng này được đánh giá là Cao (High) với điểm CVSS là 7.8.
CVE-2025-2172: Lỗ hổng chèn lệnh đã xác thực
Lỗ hổng CVE-2025-2172 là một lỗ hổng chèn lệnh (command injection), ảnh hưởng đến các phiên bản Aviatrix Controller tương tự như lỗ hổng trên. Tuy nhiên, để khai thác lỗ hổng này, kẻ tấn công cần phải có quyền truy cập đã xác thực vào hệ thống (authenticated command injection).
Lỗ hổng phát sinh do việc xử lý đối số không an toàn trong các tiện ích dòng lệnh của Aviatrix Controller. Bằng cách chèn các đối số độc hại vào lệnh, kẻ tấn công có thể thực thi các lệnh hệ điều hành tùy ý. Điều này có thể dẫn đến việc thay đổi cấu hình, truy xuất dữ liệu nhạy cảm hoặc thậm chí là kiểm soát hoàn toàn hệ thống.
Mức độ nghiêm trọng của lỗ hổng này được đánh giá là Trung bình (Medium) với điểm CVSS là 6.6.
Kỹ thuật và chiến thuật tấn công (TTPs)
Các lỗ hổng được phân tích ở trên thể hiện một số kỹ thuật và chiến thuật tấn công phổ biến mà các tác nhân đe dọa thường sử dụng:
- Directory Traversal dẫn đến Thực thi Mã Từ xa (RCE): Kỹ thuật này cho phép kẻ tấn công truy cập các tệp và thư mục nằm ngoài thư mục web gốc của ứng dụng. Mục tiêu thường là đọc hoặc ghi các tệp nhạy cảm, và trong trường hợp của CVE-2025-52562, dẫn đến khả năng thực thi mã tùy ý thông qua việc bao gồm các tệp PHP độc hại.
- Bỏ qua xác thực (Authentication Bypass): Đây là một kỹ thuật cho phép kẻ tấn công vượt qua các cơ chế xác thực, thường là do lỗ hổng trong logic xác thực hoặc, như trường hợp của CVE-2025-2171, do sự yếu kém trong việc tạo mã thông báo, cho phép tấn công vét cạn để giành quyền truy cập.
- Chèn lệnh (Command Injection): Kỹ thuật này xảy ra khi một ứng dụng thực thi lệnh hệ điều hành mà không kiểm tra hoặc làm sạch đúng cách dữ liệu đầu vào của người dùng. Điều này cho phép kẻ tấn công chèn các lệnh tùy ý để được thực thi bởi hệ thống, như đã thấy trong CVE-2025-2172.
Việc hiểu rõ các TTPs này là rất quan trọng đối với các chuyên gia bảo mật để phát triển các biện pháp phòng thủ hiệu quả, bao gồm việc tăng cường xác thực, kiểm tra đầu vào nghiêm ngặt và cập nhật phần mềm thường xuyên.
